У меня на сайте есть текстовый редактор, который я пытаюсь защитить от атак XSS. Я думаю, что со всем почти справился, но я все еще не уверен, что делать с изображениями. Прямо сейчас я использую следующее регулярное выражение для проверки URL-адресов изображений, которые, как я предполагаю, заблокируют встроенные атаки XSS на JavaScript:
"https?://[-A-Za-z0-9+&@#/%?=~_|!:,.;]+"
В чем я не уверен, так это в том, что это открывает мне возможность атак XSS с удаленного образа. Является ли ссылка на внешний образ серьезной угрозой безопасности?
Единственное, о чем я могу думать, это то, что введенный URL ссылается на ресурс, который возвращает «text/javascript» в качестве MIME-типа вместо какого-либо изображения, и этот javascript выполняется.
Это возможно? Есть ли какая-либо другая угроза безопасности, которую я должен рассмотреть?